Verschlüsselung im Internet: So schütze ich meine Daten

Von: Andrea Estermeier, VerbraucherService Bayern im KDFB e. V.

Was bedeutet "Daten verschlüsseln"?

Das Konzept von “Verschlüsselung” bezeichnet die Codierung und Decodierung von Daten. Dabei wird ein Algorithmus bzw. ein Verfahren angewendet, mit dem Daten unkenntlich werden, so dass sie nicht mehr in ihrer ursprünglichen Form vorliegen und nicht gelesen werden können. Um die Daten für den richtigen Empfänger wieder lesbar zu machen, benötigt man einen speziellen Schlüssel, mit dem die Informationen wieder decodiert bzw. kenntlich werden. Codierungsverfahren sind daher ein wichtiger Bestandteil der Datensicherheit, da so vertrauliche Daten vor “ungebetenen Mitlesern” geschützt werden können.

Sicher im Netz surfen mit HTTPS

Das gängige Verfahren, um Datentransfers im Internet vor Dritten zu schützen, ist die Nutzung des sogenannten HyperText Transfer Protocol Secure (HTTPS). Dieses Verfahren wird benutzt, um die Kommunikation zwischen Webserver und Webbrowser im Word Wide Web (WWW) zu sichern. Es arbeitet dabei mit zwei Komponenten: Verschlüsselung und Authentifizierung.

Die Verschlüsselung wandelt den Klartext des Datentransfers in einen “Geheimtext” um, so dass Dritte beim Mitlesen der Kommunikation nur unverständliche Zeichenkombinationen erhalten.

Die Authentifizierung dient zusätzlich dazu, eine vertrauliche Kommunikation zwischen Sender und Empfänger aufzubauen. Dabei erhalten beide Seiten beim Aufbau einer Verbindung Informationen, mit deren Hilfe die Identität der Gegenseite überprüft werden kann. Dabei wird sichergestellt, dass die Informationen auch den richtigen Empfänger erreichen.

Die Webseiten von Finanzinstituten, Behörden und Einkaufsplattformen verschlüsseln ihre Daten mittlerweile standardmäßig mit HTTPS, um sie vor Diebstahl und Betrug zu schützen. Auch andere Online-Dienste ziehen mehr und mehr nach.

Ob eine sichere Datenverbindung besteht, kann der Nutzer leicht überprüfen:
Die Adresse der Webseite beginnt mit „https“.

Damit sind Daten verschlüsselt und werden mithilfe eines sicheren Protokolls übertragen. Ergänzend dazu zeigen die Web-Browser in der Regel ein Schloss-Symbol an, das unten links oder unten rechts im Browserfenster zu finden ist. Ein Klick auf das Schloss-Symbol zeigt dann die Sicherheitsdetails der Webseite an.

Es gibt auch Webseiten-Betreiber, die zwar eine sichere HTTPS-Verschlüsselung anbieten, allerdings Verbindungen zu den Startseiten über das unverschlüsselte HTTP-Protokoll aufbauen. In diesen Fällen ist die Verwendung der verschlüsselten Verbindung optional und der Nutzer muss selbst darauf achten, dass die angeforderte Website per HTTPS übertragen wird. Für diese Fälle kann der Anwender sogenannte Browser-Erweiterungen installieren, die Verbindungen zu den aufgerufenen Webseiten automatisch verschlüsselt anfordern. Falls also der Webseiten-Betreiber eine HTTPS-Verschlüsselung anbietet, wird diese standardmäßig genutzt. Um stets zu wissen, ob eine sichere Verbindung besteht, lohnt sich die Installation der Browser-Erweiterung der „Electronic Frontier Foundation“.

“Ziemlich gute Privatsphäre”: Sicher E-Mails schreiben

PGP-Verfahren

Bei der E-Mailverschlüsselung ist das kostenpflichtige Verschlüsselungsprogramm „Pretty Good Privacy“ (PGP) oder das kostenfreie Pendant „Gnu Privacy Guard“ (GPG oder GnuPG) am weitesten verbreitet. Auch hierbei greifen ähnlich wie bei der HTTPS-Verschlüsselung zwei Komponenten ineinander: Das PGP-Verfahren verschlüsselt die Daten und bietet dazu die Option, E-Mails auch zu signieren. Mit einer Signatur kann die Echtheit der Nachricht überprüft und damit sichergestellt werden, dass sie vom behaupteten Absender stammt. Dazu stellt die Signatur sicher, dass die Nachricht nach dem Versenden nicht durch Dritte verändert wurde.

Im Gegensatz zur HTTPS-Verschlüsselung ist die Anwendung des PGP-Verfahrens für den Nutzer mit etwas mehr Aufwand verbunden. Das Prinzip der Mailverschlüsselung basiert auf zwei Schlüsseln, einem öffentlichen und einem privaten. Der öffentliche Schlüssel wird vom Absender an die jeweiligen Empfänger gegeben, mit denen kommuniziert werden soll. Im Gegenzug erhält der Absender jeweils die öffentlichen Schlüssel der Gegenseite. Für einen sicheren E-Mailverkehr werden nun die ausgehenden Nachrichten mit den jeweils öffentlichen Schlüsseln “abgeschlossen” und beim Empfänger mit den privaten Schlüsseln wieder “aufgeschlossen”.

Dieses Verfahren wird auch Asymmetrische Kryptographie genannt. Das PGP-Verfahren ist gegen ungewollte Datenüberwachung sehr effektiv. Allerdings setzt diese Art der Verschlüsselung voraus, dass jeder Teilnehmer seinen privaten sowie die öffentlichen Schlüssel aller anderen Teilnehmer hat. Zwar sind solche Schlüssel reine Textdateien und können prinzipiell per Mail verschickt werden oder auf einem Server abgelegt werden, dennoch ist das Verfahren nicht besonders einfach zu nutzen.

Durch entsprechende Plugins kann das Verschlüsseln in der Anwendung komfortabel gestaltet werden, aufgrund des notwendigen Schlüsselaustauschs eignet es sich aber meist nur für den E-Mailverkehr mit Freunden und Bekannten.

Verschlüsselung in Behörden und Unternehmen: S/MIME

Neben dem PGP-Verfahren hat sich auch das sogenannte Secure/Multipurpose Internet Mail Extensions (S/MIME) als Standard etabliert und kommt überwiegend in Behörden und Unternehmen zum Einsatz. Bei S/MIME ist zusätzlich zum Schlüsselpaar noch ein Sicherheitszertifikat notwendig, dass von einer Zertifizierungsstelle beantragt werden muss. Das Zertifikat dient als eine Art amtlicher Ausweis, mit dem die Zuordnung eines Schlüsselpaars zu einem bestimmten Nutzer bestätigt wird.

Auch bei der Nutzung des S/MIME-Standards gibt es - ähnlich wie beim PGP-Verfahren - nicht selten Probleme, die nur mit einem gewissen technischen Vorwissen lösbar sind. Im Gegensatz zum Surfen im Internet, bei dem die Verschlüsselung automatisiert im Hintergrund zum Einsatz kommt, gestaltet sich der verschlüsselte E-Mailverkehr komplex und kompliziert. Es gibt daher immer mehr Unternehmen, die nach intuitiven und in der Anwendung komfortable Verfahren forschen und diese am Markt etablieren wollen.

Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.